C ++、C、またはJavaファイルを入力として使用して実行し、クライアントに出力を表示するアプリケーションがあります。プログラムが実行されているサーバーでセキュリティ関連の問題を回避するために取られる最善の措置は何ですか?たとえば、C ++プログラムはfstreamを開き、サーバーにカスタムファイルを生成できます。
私は次のようないくつかの慣行を知っています。
- 一般ユーザーとして実行
- 独自のサンドボックススクリプトの作成、システムコールなどの禁止
どのような方法が最善ですか?
答え1
これらのタスク専用のコンピュータまたは仮想環境で実行してください。
答え2
必要なライブラリのみを含むchroot環境で専用ユーザーにコンパイルして実行します。
答え3
何についてSELinux?
SELinuxは非常に正確な仕様で、各ユーザー、プロセス、およびデーモンに許可されるアクティビティを制御できます。